Erpressungstrojaner legen Geschäftsbetrieb lahm

Immer wieder legen Erpressungstrojaner Unternehmen lahm. Vor einigen Wochen berichtete das „Hamburger Abendblatt“ und der „Stern“, dass Hamburgs führender Juwelier Opfer eines Erpressungstrojaners geworden ist. Es soll eine Lösegeldforderung gegeben haben, welche auch bezahlt wurde. Die genaue Summe wurde jedoch nicht genannt. Das Unternehmen verkauft viele Markenuhren wie z.B. Rolex und hat neben dem Standort Hamburg über 30 weitere Filialen wie in Madrid, London, Wien, New York und Paris. Verschlüsselt wurde der Server mit einer Ransomware. Sämtliche Daten wurden verschlüsselt, und es war kein Zugriff mehr möglich. Das komplette IT System war nicht mehr nutzbar. Der Zugriff auf die Daten war erst nach fünf Tagen wieder möglich.

Risiken minimieren

Es gibt viele technische Möglichkeiten, die zur Abwehr der Risiken durch Erpressungstrojaner getroffen werden sollten. Der Anfang ist ein E-Mail Virenscanner und SPAM Filter, der eingehende Mails auf SPAM und schadhaften Code überprüft. Idealerweise bevor diese an den internen Mailserver übergeben werden. Auf jedem Rechner und Server sollte ein Virenscanner installiert sein, der nicht nur klassisch auf Viren scannt.

Da die Kriminellen immer neue Formen der Schadsoftware erfinden, ist in den meisten Fällen der schadhafte Code noch gar nicht als Virus erkennbar. Wie zuletzt beim Trojaner Emotet, dem sogar der Computer Technik Verlag HEISE zum Opfer gefallen ist. Der eingesetzte Virenscanner sollte in der Lage sein, verdächtige Aktivitäten, z.B. die Veränderung vieler Dateien innerhalb von kurzer Zeit, zu erkennen und mit entsprechenden Maßnahmen darauf reagieren. Entweder indem er die Aktivität stoppt und die Schadsoftware isoliert, den Rechner oder Server vom Netzwerk trennt, oder eventuell sogar einfach herunter fährt, um damit die Aktivität zu unterbinden. Natürlich darf auch eine entsprechende Alarmmail nicht fehlen.

Die Backup Strategie

Mag der Schutz noch so gut sein, bleibt leider immer noch die Fehlerquelle „Benutzer“ übrig, der versehentlich durch einen falschen Klick auf die Datei den Verschlüsselungstrojaner startet und dann unternehmenskritische Ressourcen wie die Dateien oder Datenbank des Unternehmens verschlüsselt. Lesen Sie dazu auch unseren Beitrag „Schadsoftware in E-Mail Anhängen“. Dann hilft nur noch eins: das Backup.

Um die Backups im Ernstfall auch nutzen zu können, muss unbedingt sicher gestellt werden, dass die Rücksicherung auch funktioniert. Weiterhin muss sicher gestellt sein, dass Ransomware nicht auch Zugriff auf die Backuplaufwerke erhält und somit schlimmstenfalls auch die Backups verschlüsselt werden. Hierzu empfiehlt es sich, dass Backuplaufwerk so weit wie möglich zu isolieren und dieses mit zusätzlichen Schutzmechanismen auszustatten, die den Zugriff von Ransomware verhindern.

Leider gab es in der Vergangenheit Sicherheitslücken, mit denen Angreifer Beschränkungen des Berechtigungssystems überwinden konnten. Sich somit höhere Rechte verschafft haben, wodurch ein übergreifender Zugriff womöglich auf die gesamte Infrastruktur möglich war. Aktuelle Updates und Sicherheitspatches für Software oder Hardware, wie z.B. NAS Laufwerke, müssen daher dringend installiert und die Systeme aktuell gehalten werden.

Weitere Tipps zur Backup Strategie

Neben einem sauberen Backupkonzept sollte es einen Notfallplan und eine ausführliche Dokumentation zur Wiederherstellung einzelner Dateien, Datenbanken und gesamter Systeme geben. Diese Dokumentation muss so erstellt werden, dass auch Dritte von außen in der Lage sind, im Notfall eine Wiederherstellung durchführen zu können. Ebenfalls sollte der Vorgang regelmäßig getestet werden, um die Funktion des Backups und die Verfügbarkeit der gesicherten Daten zu gewährleisten. Zudem sollte die Dokumentation regelmäßig auf Aktualität geprüft werden.

Die Häufigkeit der Backups muss dabei auf das Unternehmen und die Anwendungen zugeschnitten sein. Gibt es viele Transaktionen und Änderungen, müssen die Intervalle möglichst kurz gehalten werden. Die geleistete Arbeit zwischen Feststellen des Schadensereignisses und zuletzt erstelltem Backup geht immer verloren. Stellt das Unternehmen freitags einen Befall durch Ransomware fest und hat ein funktionierendes Backup vom Montag, verliert es eine komplette Arbeitswoche! Je nach Unternehmensart und Größe kann das kritisch sein und große Probleme nach sich ziehen.

Das Backup ist für jedes Unternehmen die Lebensversicherung und schützt vor großen wirtschaftlichen Schäden. Dementsprechend sorgfältig muss es geplant und durchgeführt werden. Auch die regelmäßige Wiederherstellung als Test gehört zu den Anforderungen der Datensicherheit.

Herausforderung aus Sicht des Datenschutzes

Aus Datenschutzsicht hat jede betroffene Person ein „Recht auf Vergessenwerden“ (Löschanspruch gemäß Artikel 17 DSGVO). Die Herausforderung dabei ist, diese Daten auch aus bestehenden Backups zu löschen. Normalerweise würde das bedeuten, dass jedes einzelne Backup zurück gesichert werden muss, die Daten darin gelöscht werden und das Backup neu erstellt werden müsste/n. Dies ist für jeden Backupsatz zu wiederholen, was sehr zeitaufwändig ist.

Wichtige Tipps zu Löschanfragen: Hier besteht die Möglichkeit, dass Backup- und Restorekonzept um den Punkt Umgang mit Löschanfragen zu erweitern. Natürlich sollten die Löschanfragen im aktiven System, sofern keine weiteren gesetzlichen Aufbewahrungsfristen mehr bestehen, sofort umgesetzt werden.

Für die Backupsysteme sollten die Löschanfragen jedoch zunächst dokumentiert werden. Stellt man zu einem späteren Zeitpunkt Backups wieder her, kann anhand der Dokumentation der Datensatz bearbeitet und gelöscht werden, bevor dieses Backup erneut erstellt wird. Wurden die älteren Backupsätze überschrieben, ist man der Löschfrist ebenfalls nachgekommen, da die Daten bereits, soweit möglich, im aktiven Datensatz gelöscht wurden und somit in aktuellen Backups nicht mehr enthalten sind. Sobald dies eingetreten ist, sollte es ebenfalls in der Dokumentation festgehalten und der Lösch- bzw. Überschreibvorgang dokumentiert werden.

Zwingend sicher zu stellen ist, dass nur ein eingeschränkter Personenkreis Zugriff auf die Backups hat. Dadurch ist gewährleistet, dass die darin enthaltenen Daten nicht zweckentfremdet werden können.

Laut Artikel 32 Abs. 1 lit. c DSGVO sind Backups rechtlich geboten. Datensicherheit nach Erwägungsgrund 49 DSGVO ist ein berechtigtes Interesse, es wird in Art. 6 Abs. 1 lit f der DSGVO berücksichtigt und rechtfertigt die Speicherung der Daten auf Backup-Medien.

Auch in Datenschutz Audits, z.B. nach Art 28 Abs. 3 lit. h DSGVO (Auftragsverarbeitung), werden Backupkonzepte und deren Umsetzung oder die Wahrnehmung der Audit-Aufgaben des betrieblichen Datenschutzbeauftragten nach Art. 39 Abs. 1 lit. b DSGVO geprüft.

Fazit:
Neben einem gut funktionierenden Backupkonzept, einer ausführlichen Dokumentation und regelmäßiger Überprüfung/Sicherstellung der Funktion des Backups, muss auch die Funktion der Datenlöschung im Konzept mit berücksichtigt und dokumentiert werden. Wichtig ist, dass Unternehmen das Thema Backup nicht vernachlässigen oder auf die leichte Schulter nehmen, da im ungünstigsten Fall die Existenz von den Daten abhängt. Sind diese Daten einmal verloren und nicht mehr wiederherstellbar, werden viele Unternehmen ihre Existenz nicht mehr lang sichern können.

Verfasser: Peter Lücking